CVE-2026-41693 in i18next-fs-backend
요약
\~에 의해 VulDB • 2026. 05. 10.
i18next-fs-backend는 Node.js 및 Deno에서 파일 시스템에서 번역 파일을 로드하기 위해 i18next에서 사용되는 백엔드 레이어입니다. 버전 2.6.4 이전의 i18next-fs-backend는 구성된 loadPath / addPath 템플릿에 lng 및 ns 옵션을 직접 보간(interpolation)한 후, 결과 파일을 디스크에서 읽거나 씁니다. 이 보간 과정은 인코딩되지 않았고 검증되지 않았으므로, .., 경로 구분자, 제어 문자, 프로토타입 키, 또는 단순히 예상보다 긴 문자열을 포함하는 조작된 lng 또는 ns 값은 이러한 값을 조작할 수 있는 공격자가 의도된 로케일 디렉토리 외부의 파일을 읽거나 덮어쓰도록 허용합니다. lng / ns가 신뢰할 수 없는 입력(예: HTTP 레이어 뒤의 요청 범위 i18next 인스턴스인 i18next-http-middleware, 또는 쿼리 문자열, 쿠키, 헤더를 통해 사용자가 언어를 선택할 수 있는 프레임워크)에서 파생될 경우, ?lng=../../../../etc/passwd와 같은 단일 요청으로 인해 백엔드가 해당 경로를 읽으려고 시도합니다. 이 문제는 버전 2.6.4에서 패치되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.